OAuth2实战 - (EPUB全文下载)

文件大小：3.93 mb。
文件格式：epub 格式。
书籍内容：

版权信息
书名：OAuth 2实战
作者：[美] 贾斯廷 • 里彻 [瑞士] 安东尼奥 • 桑索
译者：杨鹏
ISBN：978-7-115-50937-6
本书由北京图灵文化发展有限公司发行数字版。版权所有，侵权必究。
您购买的图灵电子书仅供您个人使用，未经授权，不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟，与我们共同保护知识产权。
如果购买者有侵权行为，我们可能对该用户实施包括但不限于关闭该帐号等维权措施，并可能追究法律责任。
图灵社区会员 klwork（wangwei_fir@126.com） 专享 尊重版权
版权声明
序
前言
致谢
Justin Richer
Antonio Sanso
关于本书
路线图
代码
代码约定
作者在线
电子书
关于封面图片
第一部分　起步
第 1 章　OAuth 2.0是什么，为什么要关心它
1.1　OAuth 2.0是什么
1.2　黑暗的旧时代：凭据共享与凭据盗用
1.3　授权访问
1.3.1　超越HTTP基本认证协议和密码共享反模式
1.3.2　授权委托：重要性及应用
1.3.3　用户主导的安全与用户的选择
1.4　OAuth 2.0：优点、缺点和丑陋的方面
1.5　OAuth 2.0不能做什么
1.6　小结
第 2 章　OAuth之舞
2.1　OAuth 2.0协议概览：获取和使用令牌
2.2　OAuth 2.0授权许可的完整过程
2.3　OAuth中的角色：客户端、授权服务器、资源拥有者、受保护资源
2.4　OAuth的组件：令牌、权限范围和授权许可
2.4.1　访问令牌
2.4.2　权限范围
2.4.3　刷新令牌
2.4.4　授权许可
2.5　OAuth的角色与组件间的交互：后端信道、前端信道和端点
2.5.1　后端信道通信
2.5.2　前端信道通信
2.6　小结
第二部分　构建OAuth环境
第 3 章　构建简单的OAuth客户端
3.1　向授权服务器注册OAuth客户端
3.2　使用授权码许可类型获取令牌
3.2.1　发送授权请求
3.2.2　处理授权响应
3.2.3　使用state参数添加跨站保护
3.3　使用令牌访问受保护资源
3.4　刷新访问令牌
3.5　小结
第 4 章　构建简单的OAuth受保护资源
4.1　解析HTTP请求中的OAuth令牌
4.2　根据数据存储验证令牌
4.3　根据令牌提供内容
4.3.1　不同的权限范围对应不同的操作
4.3.2　不同的权限范围对应不同的数据结果
4.3.3　不同的用户对应不同的数据结果
4.3.4　额外的访问控制
4.4　小结
第 5 章　构建简单的OAuth授权服务器
5.1　管理OAuth客户端注册
5.2　对客户端授权
5.2.1　授权端点
5.2.2　客户端授权
5.3　令牌颁发
5.3.1　对客户端进行身份认证
5.3.2　处理授权许可请求
5.4　支持刷新令牌
5.5　增加授权范围的支持
5.6　小结
第 6 章　现实世界中的OAuth 2.0
6.1　授权许可类型
6.1.1　隐式许可类型
6.1.2　客户端凭据许可类型
6.1.3　资源拥有者凭据许可类型
6.1.4　断言许可类型
6.1.5　选择合适的许可类型
6.2　客户端部署
6.2.1　Web应用
6.2.2　浏览器应用
6.2.3　原生应用
6.2.4　处理密钥
6.3　小结
第三部分Part 3　OAuth 2.0的实现与漏洞
第 7 章　常见的客户端漏洞
7.1　常规客户端安全
7.2　针对客户端的CSRF攻击
7.3　客户端凭据失窃
7.4　客户端重定向URI注册
7.4.1　通过Referrer盗取授权码
7.4.2　通过开放重定向器盗取令牌
7.5　授权码失窃
7.6　令牌失窃
7.7　原生应用最佳实践
7.8　小结
第 8 章　常见的受保护资源漏洞
8.1　受保护资源会受到什么攻击
8.2　受保护资源端点设计
8.2.1　如何保护资源端点
8.2.2　支持隐式许可
8.3　令牌重放
8.4　小结
第 9 章　常见的授权服务器漏洞
9.1　常规安全
9.2　会话劫持
9.3　重定向URI篡改
9.4　客户端假冒
9.5　开放重定向器
9.6　小结
第 10 章　常见的OAuth令牌漏洞
10.1　什么是bearer令牌
10.2　使用bearer令牌的风险及注意事项
10.3　如何保护bearer令牌
10.3.1　在客户端上
10.3.2　在授权服务器上
10.3.3　在受保护资源上
10.4　授权码
Proof Key for Code Exchange
10.5　小结
第四部分Part 4　更进一步
第 11 章　OAuth令牌
11.1　OAuth令牌是什么
11.2　结构化令牌：JWT
11.2.1　JWT的结构
11.2.2　JWT声明
11.2.3　在服务器上实现JWT
11.3　令牌的加密保护：JOSE
11.3.1　使用HS256的对称签名
11.3.2　使用RS256的非对称签名
11.3.3　其他令牌保护方法
11.4　在线获取令牌信息：令牌内省
11.4.1　内省协议
11.4.2　构建内省端点
11.4.3　发起令牌内省请求
11.4.4　将内省与JWT结合
11.5　支持令牌撤回的令牌生命周期管理
11.5.1　令牌撤回协议
11.5.2　实现令牌撤回端点
11.5.3　发起令牌撤回请求
11.6　OAuth令牌的生命周期
11.7　小结
第 12 章　动态客户端注册
12.1　服务器如何识别客户端
12.2　运行时的客户端注册
12.2.1　协议的工作原理
12.2.2　为什么要使用动态注册
12.2.3　实现注册端点
12.2.4　实现客户端自行注册
12.3　客户端元数据
12.3.1　核心客户端元数据字段名表
12.3.2　可读的客户端元数据国际化
12.3.3　软件声明
12.4　管理动态注册的客户端
12.4.1　管理协议的工作原理
12.4.2　实现动态客 ............

书籍插图：

以上为书籍内容预览，如需阅读全文内容请下载EPUB源文件，祝您阅读愉快。